Hi.
Also ich würde an deiner Stelle erstmal genau überlegen, was du nun willst.
Du wechselst hier ja gefühlt täglich die Art der Verbindung zu deinem HA. Einmal solls duckdns oder ähnliches sein, dann wieder was über Nginx, dann VPN oder doch lieber Cloudflare. Vllt auch Nabu Casa. Jetzt wieder VPN.
Ist nicht böse gemeint, aber mit einer klaren Struktur lässt sich dir sicher besser helfen und du musst nicht so sehr in HA rumbasteln und am Ende geht dann dadurch vllt gar nix mehr.
Ziel ist mit Borrdmitteln eine verschlüsselte Verbindung von aussen zum HA aufzubauen mit Handy (Android 8) und Laptop.(Win7 oder Win10)
Wenn Bordmittel nicht reichen dann irgend ein (kostenloses) Tool.
Genau: Verbindungen nach Hause laufen über WireGuard, alles andere dran vorbei direkt ins Netz.
Man kann den WG sogar so konfigurieren, dass er beim Einloggen in ein fremdes (und damit potenziell „böses“) WLAN alle Verbindungen über den Tunnel schleust. Damit wird dann sogar Onlinebanking am Flughafen in Bangkok safe…
An der Akkulaufzeit hab ich bisher nichts gemerkt, in Sachen Akkuverbrauch gibts andere mysteriöse und nicht nachvollziehbare Effekte, die sich meist durch einen Reboot „heilen“ lassen (und das bei einem iPhone - ts ts ts…)
Und apropos HA: dein HA merkt von alledem nichts, es „denkt“ du bist im Heimnetz (abgesehen von evtl. anderen Anwesenheitserkennungsmechanismen…)
Ich habe Wireguard auf dem Smartphone und das ist bei mir so gut wie immer eingeschaltet.
Für mich sehr praktisch da ich dadurch immer mit der IP von zu Hause im öffentlichen Netz erscheine und auch meine ganzen internen Dienste neben HA erreichen kann (immich zB).
Ich höre viel Radiostreaming. Ohne VPN beglückt mich TuneIn oder der Radioanbieter bei jedem Wechsel der IP erstmal wieder mit irgendwelcher Werbung weil ich ja ein neuer Hörer bin. Mit VPN wird es beim Wechsel vom WLAN auf LTE/5G nur kurz still und dann gehts weiter. Die Umschaltsekunde ist wirklich erstaunlich flott.
ok, ich werde das mit wireguard jetzt mal machen, zuerst auf meinem Tablet.
Kann ich die Funktion denn auch zuHause teste? Vermutlich einfach WLAN am Tablett abschalten, richtig? Das Tablett hat eine SIM und kann mobile Daten…
wäre sicher auch eine feine Sache für ein Android-Autoradio?
Gute Einstellung! Das kannst du so mit dem Tablet ausprobieren. Besser als konfigurieren und sofort in den Flieger steigen und dann auf Malle feststellen das es nicht geht 
Ob das auf so einem Radio geht wäre ein interessantes Experiment. Die Home-Assistant App ist bei mir in Android-Auto drin. Hab ich noch nie geklickt.
genau deshalb finde ich die VPN Lösung besser.
Neben HA gibt es z.B. das zentrale NAS auf das man zugreifen möchte …
Dein Problem kenne ich allerdings zu genau;
mein Ansatz zu einer vernünftigen/praktikablen Lösung
für “die bessere Hälfte” habe ich aber vorgelagert auf das iPhone.
Der VPN Tunnel wird automatisch aufgebaut sobald
das heimische WLAN verlassen wird.
Diese Anleitung
(https://www.iphone-ticker.de/vpn-anleitung-iphone-fritzbox-und-vpn-on-demand-97462/)
ist zwar schon recht alt, aber vom Prinzip her immer noch gültig.
Für Android wird es bestimmt Ähnliches geben.
Das klingt doch vielversprechend. Ich bin allerdings schon einen Schritt weiter und habe die Lösung auf einen externen Server „vorgelagert“. Für mich bietet es noch weitere Vorteile gezielt einzelne Dienste aus dem homelab bereitstellen zu können, kann aber nachvollziehen wenn für den ein oder anderen VPN die bevorzugte Lösung ist.
was meinst Du denn mit “externen Server”?
Bitte nicht falsch verstehen, aber ich glaube, du gehst da viel zu verkopft an die Sache heran. Die Einrichtung von Wireguard VPN auf der Fritzbox und vielleicht nur erst einmal einem deiner mobilen Geräte (z. B. dem Smartphone) dauert maximal 10 Minuten. Es kostet kein Geld und ist völlig ungefährlich. Wieso probierst du es nicht einfach mal aus, und sei es nur, um ein paar Erfahrungen damit zu sammeln? Der Zugriff via HA Companion App funktioniert damit, sowie auch der Zugriff auf andere Ressourcen in deinem Heimnetz. Wenn du nach ein wenig testen und probieren zu dem Schluss kommst, dass es für dich Mist ist, kannst du wieder deaktivieren. Falls du zu dem Schluss kommst, dass du damit gut zurecht kommst, ist es noch besser.
Dem ist nichts hinzuzufügen. Hier wurden einige Lösungen vorgestellt und jeder hat sein bevorzugtes Vorgehen. Schau halt womit du zurecht kommst und was für dich die beste Lösung ist.
Ich finde die im Video “https://www.youtube.com/watch?v=saqvt9aEQPs&t=40s” beschriebene Cloudflare-Tunnel Lösung sehr elegant. Wenn ich auf dem Handy auf die Homeeassistant-App klicke, dann wird über den Tunnel gesichert auf mein Homeassistant zugegriffen. Kein geklicke notwendig.
Nur die Einrichtung des Tunnels ist etwas aufwendig, speziell wenn man keine kostengünstige Domain findet, bei der man die NameServer einstellen kann.
Morgen hat netcup wieder Aktionstag. Habe mir dort an so einem Aktionstag eine de-domain für 1,44 netto/a gekauft. Vielleicht morgen wieder gute Preise. Die Preise werden (angeblich) nicht erhöhrt. Dns Umzug zu cloudflare funktioniert problemlos.
guter Tipp, schaue da morgen mal.
und was hätte ich dann?
anstatt der IP “https://xyz123abc456.myfritz.net/”
dann vielleicht “https://Cpt-Hardy.de”
wäre mir eigentlich egal aber für einen schmalen Taler auch ok solange die Fritzbox da mitmacht …
Es ist andersrum, für Cloudflare brauchst du eine Domain deren DNS dann Cloudflare verwalten kann. Das geht mit einer myfritz-(dyndsn)-domain nicht. Wenn du also die Empfehlung für Cloudflare umsetzen willst brauchst du eine Domain. Und dauerhaft günstiger bekommst du vermutlich keine de-domain.
Du musst Cloudflare irgendwie deine Heim-IP mitteilen, das kann vielleicht das HAOS-Addon oder du legste einen CNAME (eine Art Link) auf deine myfritz-Domain an die wiederum von der Fritzbox aktuell gehalten wird. Ich nutze kein HAOS und habe Cloudflare losgelöst von HA im Einsatz. Ob es nun wirklich so einfach ist musst du dir selbst in der Doku zum Addon ansehen.
Dafür gibt es das HA Addon Cloudflared. Hatten wir hier im thread aber schon ausführlich.
Hallo Renato,
hast du eine Beschreibung oder kurze Anleitung, wie du das konfiguriert hast?
Puh, das weiß ich ehrlich gesagt nimmer aus dem Stegreif…
Wichtig ist zunächst mal sich klar zu machen, dass das mit HA erstmal gar nix zu tun hat. D.h. Wenn der Tunnel erstmal aufgebaut ist, ist das Mobilgerät voll transparent im Heimnetz und kann sich dort (weitestgehend) so bewegen, als wär‘s im heimischen WLAN. D.h. HA „merkt“ von alledem erstmal gar nichts.
Deshalb muss da in HA oder im HA Client/App garnix konfiguriert werden.
Alles andere „passiert“ zwischen der FRITZ!Box und Wireguard. Und da hab ich alles nach den dort beschriebenen Standardanweisungen gemacht 
(muss mal schauen, ob ich dazu noch spezifische Tipps finde; aber eigentlich solltest du bei AVM und Wireguard alles relevant finden… oder frag einfach ChatGPT, das erstellt dir bestimmt ruckzuck ein detailliertes „Kochbuch“ 
)
Ich muss allerdings dazu sagen, dass ich schon davor mit Fritz! über das damals einzig mögliche Protokoll IPsec VPN gemacht hab. Dort soll „on demand“ zwar auch gehen, aber das Handling mit den nur mit einer mittels Windows-App erstellbaren Profildatei war mir mit meiner Apple-Umgebung immer zu kompliziert! Mit Wireguard geht das viel komfortabler…
Ein wichtiges learning aus der damaligen Zeit war, dass es, unabhängig vom verwendeten VPN Protokoll, sehr hilfreich ist, wenn man das Heimnetz mit einer anderen als der üblichen Standard-IP 192.168.178.x betreibt:
Denn wenn man unterwegs in irgendeinem WLAN ist (z.B.bei Freunden,…), ist die Wahrscheinlichkeit groß, dass jenes WLAN ausgerechnet in genau diesem Standard-Adressraum arbeitet, und dann hast du keine Chance einen ordentlichen VPN Tunnel in dein Heimnetz aufzubauen, weil das dann zwangsläufig zu Adresskonflikten führt!
Ich hab mein Heimnetz daher auf ein 10.x.x.x umgeschossen und hab damit seither keine Probleme mehr.
Good luck 
!
Danke für die ausführliche Antwort.
Ich habe die Wireguard Verbindung zur Fritz Box schon länger und es läuft super, daher hatte mich speziell, dass autom. Ein und Ausschalten mit dem Iphone interessiert (hätte ich genauer beschreiben sollen).
Aber Tipp mit dem Anderen Adressbereich in der Fritz Box, ist schon mal viel wert.
Danke!
Ich hab mal geschaut: in iOS/Einstellungen/VPN gibt es für das konfigurierte Wireguard VPN die Option „bei Bedarf verbinden“. Die muss dann aktiviert sein.
Aber dafür muss das in der entsprechenden conf-Datei erstmal korrekt konfiguriert sein .
Das musst du in der Wireguard App machen →
(unter „außer 3SSDs“ habe ich mein Heim-WLAN ausgeschlossen und unsere beiden Autos, weil sonst CarPlay manchmal muckt…)
Das sagt ChatGPT dazu:
In WireGuard for iOS kannst du den On-Demand-Zugang so konfigurieren, dass dein VPN automatisch verbunden oder getrennt wird, abhängig von deinem Netzwerk. Bei einer Fritz!Box als VPN-Server solltest du sicherstellen, dass dein WireGuard-Profil korrekt eingerichtet ist, bevor du den On-Demand-Modus aktivierst.
Falls du das noch nicht getan hast:
• Erstelle eine WireGuard-Konfiguration auf der Fritz!Box (aktuell nur mit Labor-Firmware möglich).
• Alternativ kannst du über einen externen WireGuard-Server mit der Fritz!Box verbinden (z. B. per Portweiterleitung oder Site-to-Site VPN).
• Importiere das Profil in die WireGuard-App auf iOS.
On-Demand-Modus aktivieren
Öffne die WireGuard-App auf deinem iPhone oder iPad.
Tippe auf dein VPN-Profil für die Fritz!Box.
Aktiviere On-Demand (Schalter oben rechts).
Wähle eine der Optionen:
• “On-Demand aktivieren, außer wenn im WLANâ€
→ Das VPN wird nur aktiviert, wenn du nicht mit einem bekannten WLAN verbunden bist (z. B. zu Hause).
• “On-Demand aktivieren, wenn nicht mit einem dieser Netzwerke verbundenâ€
→ Trage dein Heim-WLAN oder vertrauenswürdige Netzwerke ein, in denen das VPN nicht genutzt werden soll.
• “On-Demand aktivieren, immer wenn nicht im WLANâ€
→ Das VPN wird immer aktiviert, wenn du mobile Daten nutzt.
(Optional) Falls das VPN nur im Mobilfunknetz aktiviert werden soll, kannst du “On-Demand deaktivieren, wenn verbunden mit†nutzen und dein WLAN hinzufügen.
Testen
• Trenne dein WLAN und schalte auf mobile Daten um → Das VPN sollte sich automatisch verbinden.
• Verbinde dich mit deinem Heim-WLAN → Das VPN sollte sich deaktivieren (falls so konfiguriert).
Diese Einstellung sorgt dafür, dass dein iPhone/iPad automatisch das Fritz!VPN aktiviert, wenn du unterwegs bist, ohne dass du es manuell ein- oder ausschalten musst.
